Вход

Одноразовые коды есть АК-47 интернетбанкинга...

28.05.2010 14:27 23 1 839 просмотров
Практика - критерий истины. Так говорил известный философ.

Удаленный доступ к счету с ЭЦП не защищает деньги от хакеров, если клиент - "чайник" и не соблюдает гигиену компьютера. Известно множество случаев краж денег и это происходит повсеместно.

Внедрение же токенов, похоже только на время снизило остроту проблемы.

А вот статистика по "старым, добрым, простым как инфузория" одноразовым кодикам в Банке24.ру такова - ни одного случая кражи. 100% защита.

Практика наводит нас на мысль о сессионных одноразовых ключах в дополнение к ЭЦП и токену в обслуживании юр.лиц.

Комментарии 23

tx87  (tx87)
#
А есть ли практика включения функции демо-доступа интернет-банка?
Алексей Малов  (AlekceyM)
#
одноразовый код, высылаемый с помощью смс на телефон клиента, действительно отличный метод борьбы с мошенничеством.
Екатерина Суворова  (28_888)
#
В Банке24.ру используются таблицы одноразовых кодов на карточках, я пользуюсь, довольна. А вот насчет SMS - с одной стороны, да. С другой же - если смс по каким-то причинам не придет или человек с телефона пытается зайти в интернет-банк (разрыв соединения, чтобы принять смс)? Тут тоже есть вопросы...
Sterh  (Sterh)
#
Технология MMA по формиррованию OTP не предусматривала Российских самоделкиных, распечатывающих таблицы OTP через банкоматы и отправляющих их по SMS. Это решения для бедных/экономных smile:)
Юлия Сухарева  (Juлия)
#
Артур Геннадьевич!
Увидела Ваш блог, и захотелось задать Вам несколько вопросов. Решила, так сказать, блиц-интервью провести. Я - студентка, изучаю маркетинг. Уверена, узнать Ваше мнение захотят очень многие посетители сайта и Вашего блога.

1. Почему в России так мало, не более десятка, корпоративных блогов банков и персональных блогов их топ-менеджеров?
2. В чем Вы видите специфику SMM в банковской сфере?
3. Какие инструменты SMМ, помимо блогов, Вы считаете актуальными для банков и почему?
4. Какие пути кадрового обеспечения SMM Вы считаете самыми перспективными для банковской cферы?
5. По каким критериям следует оценивать эффективность SMM?
6. С какими рисками столкнется любой банк, взявшийся решать задачи SMM?
7. Приведите наиболее удачные, на Ваш взгляд, примеры использования SMM в российской банковской сфере.
(Буду признательна, если сочтете возможным ответить хотя бы на некоторые, показавшиеся Вам наиболее интересными вопросы).

"Social media marketing (SMM)" — маркетинг в социальных медиа. Продвижение или пиар чего-либо в социальных медиа (блоги, форумы, сетевые сообщества) - Википедия

Заранее спасибо!
Сергей Лапшин  (lapshin)
#
Артур - звучит как то резко. Может Арчибальд? smile:-)
Юлия Сухарева  (Juлия)
#
Извините, Сергей Геннадьевич!
Это мое сообщение попало на Ваш блог по непонятным мне причинам. smile:oops: Я его адресовала Артуру Геннадьевичу Перепелкину, который также завел свой блог на Банки.ру. Впрочем, эти же вопросы я ранее задала и Вам (в коммернтариях к посту "Работа 2.0"). Надеюсь, Вы еще на них ответите smile:)
Юлия Сухарева  (Juлия)
#
Ок. Уберем лишние smile:D . Оставим только: "Зачем Вам блог?" smile:shuffle:
Гектор  (Гектор)
#
Давно пытаюсь убедить интернет-общественность, что таблицы переменных кодов - один из самых простых и эффективных способов борьбы с хакерами. Но не в коем случае не СМС, с которыми возникают другие проблемы, особенно, когда вы находитесь за границей. Ваш авторитетный голос, несомненно, хорошее подспорье в этой дискуссии. Обращаю также внимание на способ, применяемый многими иностранными банками:они определяют компьютер, с которого ты обычно выходишь в интернет и, в случае захода в интернет-банкинг с другого компьютера, задают тебе несколько персональных вопросов. Эти вопросы и твои ответы на них зафиксированы у них при открытии счетов. Просто, удобно, эффективно.
Екатерина Суворова  (28_888)
#
Гектор, а конкретные банки за рубежом с такими условиями не назовете? Мне для работы просто, чтобы не искать долго.
Гектор  (Гектор)
#
Например, Chase Bank. Он фиксирует твой компьютер и при попытках зайди с другого идентифицирует с помощью дополнительных персональных вопросов.
Гектор  (Гектор)
#
Например, JP Morgan Chase Bank. Он фиксирует твой компьютер и при попытках зайди с другого идентифицирует с помощью дополнительных персональных вопросов.
Андрей Ерин  (a_erin)
#
"они определяют компьютер, с которого ты обычно выходишь в интернет" - такой способ уже не панацея. Продвинутый мошенник получает удаленный доступ к компьютеру с Интернет-банкингом и работает непосредственно с этого компьютера. В это время клиент видит сообщение, например: "идут регламентные работы" и не видит куда отправляются его деньги. Тут не помогает ни фильтрация по адресу, ни привязка к железу, ни токен.
Гектор  (Гектор)
#
Панацеи от мошенников вообще нет, но метод сильно уменьшает вероятность попасть в их лапы. А сочетание этого метода и таблиц переменных кодов вообще сводит усилия хакеров практически к нулю.
Сергей Лапшин  (lapshin)
#
Одноразовые коды применимы для отправки платежей только для физиков. Для юр.лиц можно использовать только как сессионные коды. Вся прелесть кодов в том, что их нет в сети. Они в кошельке или в сейфе или на фото в мобильнике. Недоступны хакеру, теоретически доступны грабителю. Но совместить все воедино - это уже из области голливудских боевиков...
Гектор  (Гектор)
#
Еще один способ отправки, не использующий данных из компьютера или сети - токен. Но за границей используют токены отличные от тех, что используют некоторые наши банки. У меня есть токен итальянского
банка UniCredit. Он напоминает брелок. Включается по паролю. Три раза ошибся - иди в банк и получай новый токен. Если пароль набран правильно, то токен показывает число, которое в данный момент и следует ввести в качестве разового пароля. Конечно, токен для выдачи физическим лицам - дорогое удовольствие. А вот для юриков - вполне по средствам. На мой взгляд это (как и таблицы переменных кодов) все лучше, чем СМС с паролями и ЭЦП. Чем плоха ЭЦП? Для этого используется флэшка, вставленная в компьютер, а значит и шансы на похищение информации хакерами многократно возрастают.
Андрей Ерин  (a_erin)
#
"Чем плоха ЭЦП?" - сама ЭЦП не может быть плохой. Электронная цифровая подпись - это единственный юридически значимый способ подписать платежный документ. К тому же поставивший свою ЭЦП под платежкой уже не сможет сказать: "Это не я отправлял платеж, это банк сам. Верните деньги!" А скодиком, в том числе на токене (ОТР токен), сможет Поэтому для юрлиц - ЭЦП единственный способ авторизации платежа. smile:(

"используется флэшка, вставленная в компьютер" - вот тут очень правильно!!! Ключ ЭЦП хранить надо правильно. Воруют секретные ключи ЭЦП с флэшек, а потом деньги миллионами уводят уже у тысяч юриков. Защищает секретный ключ - USB токен, это микрокомпьютер, в нем ключ генерится внутри.
Кому нужны подробности, много букв здесь: http://www.blog.bank24.ru/archives/64
keinelust  (keinelust)
#
В статье Атаки на банковские системы:
Цитата
Стандартная техника атаки в данном случае идентична атаке на eToken PRO: троян перехватывает очередной переменный код, введённый пользователем, отображает сообщение об ошибке и использует полученный код для проведения нелегальной транзакции.

Это не фантастика.
Андрей Ерин  (a_erin)
#
Мы испробовали на практике все способы аутентификации клиентов, описанные здесь и еще многие другие. От привязки к ПК пришлось отказаться - ну мобильный у нас клиент, и на отдыхе работать хочет и в офисе компы часто меняет smile:), я уже не говорю про динамические адреса компьютеров.

Другие способы (кодики на карточках) оч хорошо зарекомендовали, но отдельным клиентам хочется фишек типа кодиков на брелоке, они готовы платить за ОТР токены. Это решение у нас на подходе.

И еще ряд других решений. Тут ведь главное не опоздать smile;)

Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Оплата ЖКХ
С 1 декабря в Платежном кабинете Системы «Город» доступна оплата всех жилищно-коммунальных услуг без комиссии! Осуществить платеж по услуге «Оплата
13
Olympic athletes from Russia
Все ! Надоело ! Сегодня бросил пить и встал на лыжи . В стране мало "чистых" спортсменов . До Олимпиады время есть . Может на что и сгожусь . Ит мой спик
1
Рынок нефти 18 декабря
Нефть демонстрирует умеренный позитив в ходе торгов понедельника на фоне статистики о сокращении числа буровых в США. По данным Baker Hughes число вышек
1
Дискриминация российских инвесторов от Сбербанка
Посмотрел на этих выходных прекрасный, великолепный, интеллектуальный и с юмором рекламный ролик от Сбербанка. Казалось, можно аплодировать стоя этому
0
Жкх
Оплата жкх МТС Тиньков для Москвы ГИС ЖКХ
0

Новые сообщения

  • Рынок нефти 18 декабря
    Нефть демонстрирует умеренный позитив в ходе торгов понедельника на фоне статистики о сокращении числа буровых в США. По данным Baker Hughes число вышек
  • Дискриминация российских инвесторов от Сбербанка
    Посмотрел на этих выходных прекрасный, великолепный, интеллектуальный и с юмором рекламный ролик от Сбербанка. Казалось, можно аплодировать стоя этому
  • Жкх
    Оплата жкх МТС Тиньков для Москвы ГИС ЖКХ
  • Как получить бесплатно антивирус F-Secure SAFE бесплатно на 1 год
    А сегодня я расскажу как получить в бесплатное пользование на 1 год неплохой антивирус F-Secure SAFE для 5-и устройств, в числе которых могут быть ПК,
  • Рынок нефти 15 декабря
    Нефть не демонстрирует выраженной динамики в ходе утренних торгов пятницы. Накануне определенное давление на цены сформировал отчет МЭА. Агентство отмечает